1.负责分析日常运营发现的可疑文件/恶意样本,协助应急响应,输出准确的分析报告,确保及时发现、清除潜在威胁; 2.完成威胁狩猎工作,包括对相关黑灰产团伙、勒索团伙、APT组织的活动的长期追踪; 3.完成攻击团伙TTPs归因分析,针对相应的安全产品提出针对性的防御检测措施,进一步提升组织的安全防御&检测能力; 4.针对现有产品无法覆盖的ttps,开发针对性的检测组件/规则,补齐产品检测的短板。
1.熟悉PE等可执行文件格式,深入理解并能够分析加密、脱壳、反调试、反虚拟化、反沙箱、免杀的绕过机制,有相关GO、Rust语言逆向经验优先; 2.熟悉相关脚本语言,能分析脚本型恶意程序,包括但不限于VBS、JavaScript、Python; 3.具备一定的编程能力,包括不限于golang/c++/python等; 4.熟练掌握并使用X32/64dbg、Windbg、IDA或Ghidra等,具备丰富的动态调试和静态分析经验; 5.具备对Windows系统深入的理解,熟悉系统架构、内核、系统调用、内存机制和ETW等基础原理,具备相关开发经验; 6.了解主流计算机病毒、木马等恶意软件的技术原理、传播方式、行为特征及流行变种趋势,有Yara规则开发经验者优先; 7.了解vt微步等常见云沙箱的分析拓线,掌握splunk/elk的安全大数据分析能力。有丰富的病毒后门分析经验、威胁狩猎、黑灰产团伙追踪、高级威胁研究的实际工作经验优先; 8.良好的沟通能力和有效的团队协作精神,并具有高度的职业道德与保密意识。